Методика интеграции системы управления киберрисками в предпринимательских структурах

Автор: Эсаулов Константин Андреевич, Яхваров Егор Константинович, Нечай Александр Анатольевич, Березин Алексей Сергеевич

Журнал: Вестник Российского нового университета. Серия: Сложные системы: модели, анализ и управление @vestnik-rosnou-complex-systems-models-analysis-management

Рубрика: Управление сложными системами

Статья в выпуске: 2, 2020 года.

Бесплатный доступ

Рассмотрено влияние информационных рисков на деятельность предпринимательских структур. Рассмотрен алгоритм интеграции управления киберрисками в общую систему управления предпринимательской структурой. Алгоритм предполагает анализ возможных альтернатив интеграции управления киберрисками с учетом возможных ошибок при принятии решений и соответствующего ущерба. Внедрение предложенного алгоритма возможно при стратегическом планировании, бюджетировании, осуществлении контроля, мониторинга и оценки эффективности деятельности предпринимательской структуры. Использование предложенного алгоритма позволит повысить эффективность противодействия киберпреступности.

Еще

Предпринимательская структура, риск-менеджмент, киберриск, кибербезопасность, четвертая промышленная революция

Короткий адрес: https://sciup.org/148309081

IDR: 148309081 | DOI: 10.25586/RNU.V9187.20.02.P.080

Текст научной статьи Методика интеграции системы управления киберрисками в предпринимательских структурах

Основные масштабные изменения, происходящие в мировой экономике, связанны с высоким темпом развития научно-технологического прогресса, спровоцированные новой четвертой промышленной революцией. Технологии, обеспечивающие четвертую промышленную революцию [1; 5], влияют на форму и качество продуктов и услуг, формируют поведение потребителей, создают новые модели роста коммерческих компаний. Искусственный интеллект – одна из технологий, относящаяся к цифровой промышленной революции [8; 9], – по оценке Глобального института McKinsey, позволит к 2030 г. создать экономический эффект для мировой экономики в размере 13 трлн долларов в год [2]. По оценке того же института, в течение 20 лет 50% операций в мире будут автоматизированы. Глобальные технологические преобразования цифровой революции не только приведут к автоматизации бизнес-процессов, повышая производительность труда [4] (ежегодный темп роста производительности труда составит 2,3% в течение 2025–2030 гг. по данным консалтинговой аудиторской кампании Deloitte) [3], но и будут сопровождаться новыми рисками, связанными с этими изменениями [6] («кибератаки», «кража данных»). По данным отчета Всемирного экономического форума «Глобальные риски» WEF (World Economic Forum) за 2019 г., экономический ущерб от киберпреступности к 2020 г. достигнет 3 трлн долларов. В 2017 г. убытки российских компаний из-за кибератак составили 116 млрд руб. Наиболее распространенные последствия киберпреступлений представлены на рисунке 1. Среди распространенных последствий киберпреступлений лидируют: нарушение бизнес-процессов операций (68%), ущербы для репутации (58%), финансовые убытки (45%).

Рис. 1. Наиболее распространенные последствия киберпреступлений, %

82 в ыпуск 2/2020

Предпринимательским структурам следует активно отслеживать угрозы и обеспечивать устойчивость бизнеса. Для этого необходимо интегрировать систему управления рисками в систему управления коммерческих организаций.

Риски, с которыми сталкивается предприятие в цифровой области, должны быть проанализированы и классифицированы в рамках системы киберрисков. Как только киберриски будут более четко пониматься как бизнес-риски, возникающие в цифровой области, организация будет правильно ориентирована на то, чтобы приступить к реализации подхода, основанного на оценке риска.

Интеграция управления киберрисками состоит из 4 основных мероприятий (рис. 2).

Рис. 2. Интеграция управления киберрисками

Блок I этого методического обеспечения содержит методику оценки воздействия на бизнес киберугроз; включает аудит ИТ-систем. Первый блок начинается с анализа ключевых бизнес-процессов, выбора мероприятий по воздействию на них с целью выявления рисков следующей группы – персонала, помещений, поставщиков, данных.

Блок II содержит разработку стратегии реагирования на риски. В зависимости от выявленной уязвимости, которая создает угрозу, необходимо сопоставить меры и средства, направленные на ее устранение.

Блок III содержит процесс разработки плана по реализации стратегии. Применение мер и средств, направленных на парирование угрозы, связано с дополнительными затратами. Выбор одного из альтернативных решений должен быть обоснован с учетом затрат и возможных потерь в случае реализации угрозы.

Блок IV этого методического обеспечения содержит процесс сопровождения и поддержки интеграции в ключевые бизнес-процессы. Внедрение выбранного решения по противодействию киберугрозам не окончательный шаг, и необходимо контролировать его эффективность и оперативно реагировать на происходящие изменения. Система должна поддерживаться в актуальном состоянии, чтобы быть способной противостоять вновь появляющимся угрозам.

Объединив данные четырех блоков, получим комплексное методическое обеспечение, необходимое для противодействия киберугрозам. Наиболее важным является блок III, так как он связан с обоснованием выбора решения. Предлагается следующая постановка задачи.

Эсаулов К.А. и др. Методика интеграции системы управления киберрисками... 83

Пусть дан набор альтернативных решений до интеграции управления рисками в систему управления организации:

Y = { У1, У 2, У 3, •••> yN }, где Y – набор альтернативных решений, состоящий из y1,y2,y3,…,yN; N – количество альтернативных решений.

Последствия ошибки в принятии решения могут быть оценены величиной ( C ), выраженной в стоимостном отношении в виде суммы стоимостей прямого ( C _{пр. ущ}) и косвенного ущерба ( C ):

косв. ущ пр. ущ косв. ущ.

Вероятность ошибки характеризуется величиной, состоящей из вероятностей неверных действий, приводящих к общей ошибке:

Q0 (q10 , q20 , ' ”, qN0 ) = 1 - P0 , где Q0 – вероятность ошибки; q10, q20, …, qN0 – набор неверных действий, приводящих к Q0; P0 – вероятность безошибочной работы организации.

ущ 0 пр. ущ косв. ущ .

Для каждой бизнес-цели и реализации соответствующего решения из набора { У 1 , У 2 , У 3 , — , y N } существует риск, т.е. { r 1 , ^r 2 , ^r 3 , ^ ^,r N } .

Составим для такого набора профиль риска (рис. 3).

Риск

Кривая риска

Эффективность

Рис. 3. Профиль риска (условное изображение)

Интеграция алгоритма по управлению риском значительно снизит вероятность ошибки в принятии решения. Это может быть реализовано посредством следующих мероприятий:

• оценка воздействия на бизнес киберугроз, аудит ИТ-систем – X ₁;
• разработка плана по реализации стратегии – X ₂;
• интеграция в ключевые бизнес-процессы – X ₃;
• сопровождение поддержка и процедуры – X ₄ .

84 в ыпуск 2/2020

Управленческое решение будет состоять в векторе X :

X = ( X VX2,X3,X 4 ), где X1, X2, X3, X4 – определенные величины, для которых существует набор значений.

Методом экспертных оценок для каждой из величин X ₁, X ₂, X ₃, X ₄ выбирается набор значений, т.е. для X ₁:

X1 g{ all, ai2, ..., ak 1 }, где a – один из вариантов внедрения управления рисками в стратегическое планирование; k1 – количество вариантов a для стратегического планирования.

Аналогично для X ₂, X ₃, X ₄:

X2 e{,

X 3 G{

X 4 e{

a 21 , a 22 , " •, a 2 k ₂

a 31 , a 32 , •■•,a 3 k 3

a 41 , a 42 , " •, a 4 k 4

};};}•

Таким образом, всего управленческих решений kобщ= k1 k2 k3 k4.

Для каждого из этих вариантов производим сужение набора Y (с помощью экспертной оценки исходя из состояния рынка отрасли, в которой компания ведет деятельность, размера компании, анализа финансово-хозяйственной деятельности):

x = ( a 1 i , a 2 j , a 3 i , a 4 z ) , i g { 1, — k 1 } , j g { 1, — k 2 } , l g { 1, — k 3 } , z { 1, — k 4 } •

Проведя мероприятия X , получим Y_ijlz , т.е. Y → Y_ijlz , где Y_ijlz – новый набор альтернативных решений при этом наборе интеграционных мероприятий по управлению рисками x = ( ^a 1 i , a 2 j , a 3 1 , a 4 z ) •

Каждая из альтернатив характеризуется затратами S_i _, _y _, _l _, _z :

^S i , y , l , z i ^g{ ¹, " •, ^k 1 ^} , j ^g{ ¹, " • ^k 2 ^} , l ^g{ ¹, "'^k 3 ^} , z ^g{ ¹, " • ^k 4 ^} ;

|^ x i , x j , x i , x z J G { a i 1 , a i 2, . „ , a ik i ; a y 1 , a y 2, . „ , a yk i ^; a z 1 , a z 2 , .. . , a zk i } V i , ^j , l , z — !••• n ;

S ( X )=ESjlz ( Xijlz )• i=1

Повышение вероятности p ( t ) безотказного функционирования (верного решения) осуществляется методом экспертной оценки путем выбора набора альтернатив x_i из { a i 1 ,a i 2 , "- a ik , } , x y из { a y 1 ,a y 2 , ^ a yk , } , x z из { a z 1 , a z 2 , ^ a zk , } • КажДая из ^k yz альтеР натив характеризуется затратами S_iyz на ее осуществление. Требуется на множестве |^ x i x_y x_z ^| допустимых значений найти такое значение X, при котором ущерб минимален, а полученные затраты были меньше запланированных:

X = ^argmⁱⁿ⁽ C ущ ⁽ X )| S ⁽ X ) = У s ⁽ x ) < S зад .

i , у , ^z = 1

Актуальная информация о киберрисках будет регулярно предоставляться руководству компании для принятия стратегически важных решений. Развитие процессов риск-ме-

Эсаулов К.А. и др. Методика интеграции системы управления киберрисками... 85 неджмента в кибербезопасности позволит предпринимательским структурам быть высокотехнологичными компаниями с быстрыми, удобными и безопасными сервисами, несмотря на растущий интерес со стороны киберпреступников [7]. Создание единой системы менеджмента киберрисков и их оценки будет способствовать в дальнейшем объединению усилий в борьбе с киберпреступностью.

Список литературы Методика интеграции системы управления киберрисками в предпринимательских структурах

Борисов А.А., Краснов С.А., Нечай А.А. Технология блокчейн и проблемы ее применения в различных информационных системах // Вестник Российского нового университета. Серия "Сложные системы: модели, анализ и управление". 2018. Вып. 2. С. 63-63.
Методологические основы оценки военно-экономической эффективности управленческой деятельности: учебное пособие / А.Л. Михайлов и др. СПб.: ВАТТ, 2004. 230 с.
Нечай А.А. Формирование безопасной информационной среды // Актуальные проблемы современности: наука и общество. 2019. № 4. С. 43-44.
Нечай А.А., Борисов А.А., Борисова Ю.И. Точечный анализ данных дистанционного зондирования Земли средствами языка программирования Python // Вестник Российского нового университета. Серия "Сложные системы: модели, анализ и управление". 2019. Вып. 1. C. 49-55.
Нечай А.А., Копьев А.И. Метод управляемого распределения ресурсов между ядрами процессора // Вестник Российского нового университета. Серия "Сложные системы: модели, анализ и управление". 2018. Вып. 2. С. 101-106.
Пименова А.Л, Эсаулов К.А., Яхваров Е.К. Совершенствование системы контроллинга в предпринимательских структурах в условиях цифровизации // Петербургский экономический журнал. Экономика и управление хозяйствующими субъектами. 2019. № 3. С. 14-23.
Разработка классификации и системы показателей оценивания рискоустойчивостей предприятий при достижении тактико-технических требований в ходе выполнения гособоронзаказа / Е.К. Яхваров и др. // Проблемы в экономике и юридической практике. 2015. № 5. С. 215-218.
Свинарчук А.А., Нечай А.А. Использование квантовых вычислений при выборе управленческого решения // Вестник Российского нового университета. Серия "Сложные системы: модели, анализ и управление". 2018. Вып. 2. С. 31-36.
Шаймарданов А.М., Нечай А.А., Лепехин С.В. Математическая модель систем автоматического управления с широтно-импульсной модуляцией // Вестник Российского нового университета. Серия "Сложные системы: модели, анализ и управление". 2019. Вып. 2. C. 27-39.

Еще

Статья научная